Отключение настройки AllowNT4Crypto на всех затронутых контроллерах доменов

Почему это достойно внимания

Разрешение старых алгоритмов криптографии NT4 может создать серьезную угрозу безопасности и служить сигналом о том, что в вашей ИТ-среде все еще может использоваться очень старое и небезопасное оборудование или программное обеспечение (например, NT4 или более старые клиенты SAMBA SMB). Более того: ни одна поддерживаемая в настоящее время ОС уже даже не учитывает эту настройку.

Посмотрите, как инженер по работе с клиентами объясняет проблему

Контекст и рекомендации

По умолчанию Windows Server 2008 или более поздний запрещает клиентам, работающим с операционными системами, не относящимися к Microsoft, или операционными системами Windows NT 4.0, устанавливать безопасные каналы с использованием слабых криптографических алгоритмов в стиле Windows NT 4.0. Любая операция, зависящая от канала безопасности, которая инициируется клиентами, использующими устаревшие версии операционной системы Windows или работающими с операционными системами не от Майкрософт, не поддерживающими надежные криптографические алгоритмы, приведет к сбою из-за контроллера домена под управлением Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 с настройками по умолчанию.

Windows Server 2008 R2 и более поздние версии не поддерживают отношения доверия с Windows NT 4.0 даже при использовании настройки NT4Crypto. Это ограничение включает в себя, помимо прочего, следующие операции канала безопасности: - создание и поддержание отношений доверия; - присоединение к домену; - проверка подлинности домена; - проверка подлинности сеансов.

Рекомендуемые действия

Для решения этой проблемы выполните одно из следующих действий:

1. Отключите настройку AllowNTCrypto в реестре.
   1. Войдите в затронутые контроллеры доменов.
   2. Нажмите Пуск, выберите команду Выполнить, введите regedit.exe, а затем нажмите кнопку OK.
   3. В редакторе реестра перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Параметры.
   4. Измените значение AllowNT4Crypto на 0.
   5. Повторите эти действия для каждого пострадавшего контроллера домена.
2. Отключите настройки AllowNTCrypto в GPO политик контроллеров домена по умолчанию.
   1. Зайдите в контроллер домена на базе Windows Server 2008.
   2. Нажмите Пуск, выберите команду Выполнить, введите gpmc.msc, а затем нажмите кнопку OK.
   3. В консоли управления групповыми политиками разверните узел Forest: DomainName, затем Домены, затем DomainName, а затем Контроллеры домена.
   4. Нажмите правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем нажмите Изменить.
   5. В консоли управления групповыми политиками разверните узел Конфигурация компьютера, затем Политики, затем Административные шаблоны, а затем Система.
   6. Нажмите Сетевой вход в систему.
   7. Дважды щелкните Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0.
   8. В диалоговом поле нажмите Отключено, а затем нажмите кнопку OK.

Подробнее

Для получения дополнительной информации см. раздел Служба сетевого входа в систему на Windows Server 2008 и на контроллерах домена Windows Server 2008 R2 не позволяет использовать старые алгоритмы шифрования, совместимые с Windows NT 4.0 по умолчанию, доступный по адресу https://support.microsoft.com/kb/942564

Для получения дополнительной информации об изменении соответствующего объекта групповой политики см. раздел Изменение политик безопасности в политике контроллеров домена по умолчанию, доступный по адресу https://technet.microsoft.com/library/cc731654.aspx.